→ Методы обнаружения вирусов. Методы обнаружения и удаления компьютерных вирусов. Профилактические меры защиты. Проверим, нет ли вирусов

Методы обнаружения вирусов. Методы обнаружения и удаления компьютерных вирусов. Профилактические меры защиты. Проверим, нет ли вирусов

Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.

Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, достигают астрономических величин в сотни миллионов долларов ежегодно. Антивирусные программы, технические и аппаратные способы не дают полной гарантии защиты от вирусов. Способы противодействия компьютерным вирусам можно разделить на следующие группы:

Профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения;

Использование антивирусных программ, обезвреживающих и удаляющих известные вирусы;

Применение способов обнаружения и удаления неизвестного вируса.

Одним из основных методов борьбы с вирусами является своевременная компьютерная профилактика, которая предполагает соблюдение небольшого числа правил, позволяющих значительно снизить вероятность заражения вирусом и потери каких-либо данных. Чтобы избежать или снизить ве­роятность заражения вирусом, следует применять следу­ющие профилактические меры:

Использовать дистрибутивные копии программного обеспечения;

Использовать при работе на компьютере программу антивирусный монитор, который должен резидентно находиться в памяти компьютера;

Использовать по-возможности программы-фильтры, программы-ревизоры, программы-доктора;

При работе в сети на сервере администраторам сетей следует активно использовать стандартные возможности защиты сети: ограничение прав пользователей; установку атрибутов «только на чтение » или «только на запуск » для всех выполняемых файлов;

Если нет необходимости грузить систему с дискеты, то рекомендуется поставить в BIOS Setup порядок загрузки «сначала - С:, потом - A: », что надежно защитит компьютер от загрузочных вирусов;

На дискеты с файлами, которые не нужно изме­нять, установить защиту от записи;

Проверять вновь полученные программные продукты и дискеты, используемые на других компьютерах;

Перед открытием проверять документы Word/Excel , полученные из локальной сети, из глобальной сети Internet или по электронной почте, антивирусными программами;

Периодически обновлять и систематически приме­нять свои антивирусные программы;

Периодически копировать информацию, создавать копию файлов и системных областей дисков; файлы рекомендуется архивировать, т.к. к архивным файлам, вирус не приписывается;



Ограничить круг лиц, допущенных к работе на компьютере;

Использовать утилиты проверки целостности информации, они сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т.д.);

Периодически сравнивать информацию, хранящуюся в базе данных, с реальным содержимым жесткого диска, так как любое несоответствие может служить сигналом о появлении вируса;

Хотя предотвратить заражение вирусами компьютер, включенный в локальную и глобальную компьютерную сеть, достаточно трудно, однако, применяя различные способы защиты информации, можно значительно сни­зить вероятность заражения вирусом и эффективно его «вы­лечить». При заражении вирусом рекомендуется: если имеются архивные файлы, то можно уничто­жить все зараженные или подозреваемые в заражении файлы, при невозможности применить эти меры целесо­образно осуществить следующие действия:

Выключить ПЭВМ и отключить все коммуника­ции;

Установить защиту от записи на все носители ин­формации ПЭВМ;

Создать загрузочную дискету, т.е. отформатировать ее и записать на нее системные файлы;

Записать на нее антивирусные программы и драйвер клавиатуры keyrus.com .

Защитить дискету от записи;

Перезагрузить операционную систему с эталонной и защищенной от записи дискеты;

Запустить антивирусную программу-фильтр (иначе, запустить последовательно драйвер клавиатуры и антивирусную программу, записанную на дискету);

Скопировать зараженные файлы или всю информацию на новый магнитный носитель;

Новый носитель использовать для обнаружения и уничтожения вируса с помощью программ-детек­торов и докторов;

Если тип вируса распознан на новом носителе, то необходимые антивирусные программы при­менить для уничтожения вируса на рабочем но­сителе;

Если вирус не найден, нужно обратиться к специ­алистам.

Можно попытаться вылечить зараженные файлы и без переноса информации на другой носитель, т.е. установив режим «Лечение » в антивирусной программе. К сожалению, не существует антивирусной программы, которая обеспечила бы 100% защиту компьютера. Только хорошо подобранный набор антивирусных средств и регулярная профилактика сведет к минимуму возможные потери информации.

6.17. Антивирусные программы. Классификация
антивирусных программ

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы, хотя они и не гарантируют стопроцентную защиту от вирусов. Существует несколько типов антивирусных программ:

1.Программы-детекторы обнаруживают файлы, зараженные вирусами. К этому классу относятся следующие программы:

- Aids Test Д. Лозинского, программа обновляется 2-3 раза в месяц, номер версии программы соответствует числу обнаруживаемых вирусов;

- AVSP А. Борисова, программа обновляется раз в полгода, имеет способность обучаться распознаванию новых вирусов;

- -V Е. Касперского, программа обновляется ежемесячно;

- Vir Scan (фирма IBM ) и Scan (фирма MCAffe Associates );

2.Программы - полифаги (доктора) – программы, которые обнаруживают фиксированный набор известных им вирусов и в большинстве случаев обезвреживают их. Примеры: DR.Web (Doctor Web) И.А. Данилова; AntiViral Toolkit Pro Евгения Касперского; Aids Test Д. Лозинского.

3.Резидентные антивирусы (сторожа) – это программы, которые находятся постоянно в оперативной памяти компьютера и контролируют операции, проводимые с диском и памятью. При подозрении на вирус сообщают об этом пользователю, например, AntiViral Toolkit Pro Monitor .

4.Программы-ревизоры – программы, запоминающие сведения о состоянии файлов и системных областей дисков (длину, контрольную сумму и др.). При работе программы сравнивают рабочие характеристики файлов с исходными характеристиками и делают вывод о возможном заражении файлов. Некоторые программы-ревизоры (например, A Dinf ) позволяют восстановить при необходимости исходное состояние системных областей и контролируемых файлов. Примеры: A Dinf Д. Мостового, фирма «Диалог-Наука»; A Dinf Cure Module Д. Мостового, В. Ладыгина, Д. Зуева, фирма «Диалог-Наука»; LOOKCMD ; FSP .

5.Программы-фильтры - программы, которые располагаются резидентно в оперативной памяти и перехватывают обращение к операционной системе, которые вирусы используют для размножения и нанесения вреда. К таким программам относятся: Disk Monitor ; FSP , Vaccine ; Anti 4 us .

Самыми популярными и эффективными антивирусными программами являются:

Антивирусные сканеры (другие названия: фаги, полифаги);

- CRC -сканеры (также: ревизор, checksumer , integrity checker );

Блокировщики;

Иммунизаторы.

Часто антивирусные сканеры и CRC -сканеры объединяют в одну универсальную антивирусную программу, что значительно повышает ее мощность.

Антивирусные сканеры . Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти, на поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются маски - некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы, например: алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Во многих сканерах используются также алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения: «возможно заражен» или «не заражен» для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний. Различают следующие категории сканеров:

Универсальные сканеры - сканеры, рассчитанные на поиск и обезвреживание всех типов вирусов;

Специализированные сканеры - сканеры, предназначеные для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов, являются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel ;

Резидентные (мониторы) сканеры - сканеры, которые перед тем как разрешить доступ к объекту, производят его сканирование на наличие вируса;

Нерезидентные сканеры - сканеры, которые обеспечивают проверку системы по запросу.

Резидентные сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска. Достоинство сканеров всех типов - их универсальность. Недостатки: большие размеры антивирусных баз, небольшая скорость поиска вирусов.

CRC-сканеры . Принцип работы CRC -сканеров основан на подсчете CRC -сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. CRC -суммы, длина файлов, дата их последней модификации и т.д. сохраняются в базе данных антивируса. При последующем запуске CRC -сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC -сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC -сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления. Однако у этого типа антивирусов есть недостатки, которые заметно снижают их эффективность. CRC -сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC -сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» и заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми.

Блокировщики . Антивирусные блокировщики – это резидентные программы, перехватывающие вирусо-опасные ситуации и сообщающие об этом пользователю. К вирусо-опасным ситуациям относятся вызовы на открытие для записи в выполняемые файлы, запись в boot -сектора дисков, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. Антивирусные блокировщики подразделяются на: программные блокировщики и блокировщики, выполненные в виде аппаратных компонентов компьютера.

Наиболее распространенной является встроенная в BIOS защита от записи. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS -утилиты FDISK немедленно вызывает ложное срабатывание защиты. Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики непопулярными на фоне остальных типов антивирусной защиты.

Достоинство блокировщиков - способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. Недостатки блокировщиков: существование путей обхода защиты блокировщиков, большое количество ложных срабатываний. Вышеуказанные недостатки являются причиной для отказа пользователей от антивирусных блокировщиков.

Иммунизаторы . Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении объектов и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первый тип иммунизаторов обычно записывается в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяет его на изменение. Недостаток: абсолютная неспособность сообщить о заражении стелс-вирусом . Поэтому в настоящее время такие иммунизаторы, как и блокировщики, практически не используются.

Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.

Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов: одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 72 секунды, а другие - 70 секунд. Однако, несмотря на это, подобные иммунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.

Инструкция

О присутствии вируса свидетельствовать могут в первую очередь явные признаки. К примеру, на экране всплывают сообщения или открываются незапрашиваемые интернет-страницы. С явными проявлениями наличия вируса можно столкнуться, если на компьютере поселилась троянская программа.

К тому же о том, что ПК заражен, догадаться можно по скрытым признакам. То есть вирусы сами по себе неприметны, а узнать об их присутствии сможете, если заглянете в реестр.

Кроме того, есть и косвенные признаки присутствия вредоносного программного обеспечения. К этой категории «симптомов» отнести можно внезапное зависание работающей программы, появление на экране сообщения о неизвестной ошибке и прочие проявления.

Чтобы отыскать вирус без антивируса, нажмите комбинацию клавиш Shift+Ctrl+Esc или Alt+Ctrl+Delete: на экране запустится диспетчер задач (в нем четыре колонки). Посмотрите содержимое первой колонки – «Имя обзора»: здесь увидите информацию о протекающих подозрительных или неподозрительных процессах. У каждого пользователя ПК свой набор основных процессов, поэтому удостоверьтесь, что среди дополнительных операций нет сомнительных.

Нередко вирусы попадают в автозапуск. Чтобы отыскать автоматически запускаемые файлы, откройте меню «Пуска», затем кликните по вкладке «Все программы» и выберите пункт «Автозагрузка». Отыскать вредоносные программы также можно при помощи софта Ccleaner или Auslogics.

Откройте системную утилиту msconfig.exe: для этого нажмите «Пуск», после чего кликните по вкладке «Выполнить», а затем напишите название открываемого приложения. Там также есть вкладка «Службы», в которой находятся те системные компоненты, которые запускается при включении персонального компьютера. В этом списке находиться могут и вредоносные программы.

Обратите внимание

С вирусами шутки плохи: обязательно установите антивирус.

Полезный совет

Прежде чем удалить файл, убедитесь в том, что он действительно сомнительный.

Связанная статья

Источники:

  • Признаки заражения компьютера вирусами
  • как удалить вирус без антивируса

Вам знакомо загораживающее весь экран синее окно с просьбой отправить СМС, чтобы разблокировать компьютер? А мучительная работа в Интернет, когда вы ничего не закачиваете, а счетчик трафика мотает мегабайты каких-то данных? Или, может быть, один за другим перестают запускаться exe-файлы? Если да, вам необходимо срочно устранить вирус!

Инструкция

Если даже папка не может удалиться, попробуйте изменить один любой в нее названии. Щелкните правой кнопкой мыши по значку папки и выберите в контекстном меню пункт «Переименовать», затем введите новое измененное имя. После этого попробуйте вновь удалить папку.

Если вы проделали операции, описанные выше, но папка так и не удалилась, воспользуйтесь бесплатной утилитой Unlocker. Эта программа позволяет обрабатывать заблокированные для пользователя файлы и папки. После установки Unlocker, щелкните по папке, которую следует удалить, правой кнопкой мыши, выберите пункт “Unlocker”. В диалоге программы вы увидите список системных процессов, который препятствует удалению папки. Завершите эти процессы, а затем удалите файл.

Unlocker способен удалять файлы и папки, которые используются другим приложением, а также доступ к которым закрыт или запрещен. Unlocker также работает в случаях, когда диск переполнен или защищен от записи, когда файл используется другой программой, и когда нарушается совместное использование директории.

Компьютерный вирус – программа, которая наносит вред компьютеру. Он может выполнять различные действия без разрешения пользователя. В том числе блокировать работу той или иной программы или полностью операционной системы. Избавляться от вирусов нужно как можно быстрее.

Вам понадобится

  • -антивирус;
  • -лечащие бесплатные утилиты;
  • -программа procexp;
  • -LiveCD;
  • -жесткий диск с установленной ОС.

Инструкция

Если не блокирует работу с компьютером, запустите установленный антивирус. Установите сканирование всех жестких дисков. В том числе съемных или . Если вирус будет найден, программа предложит вылечить его, отправить в карантин или удалить. Если вы уверены, что такую программу вы не устанавливали на компьютер, выберите функцию удалить.

Там вы увидите файл hosts. Откройте его с помощью блокнота. Удалите все, что будет идти после строчки 127.0.0.1 localhost. Сохраните изменения. Потом перезагрузите компьютер. Вирус будет удален. После этого на всякий случай проверьте компьютер любым антивирусом.

Если посредине рабочего стола находится баннер, который не дает вам работать, нужно войти в компьютер в безопасном режиме. Потом запустите любой антивирус или лечащую утилиту. Удалите все найденные вирусы и запустите компьютер в обычном режиме.

Если баннер закрывает не весь рабочий стол, его можно удалить и вручную. Установите программу procexp. Запустите ее. Передвиньте так, чтобы было видно все запущенные процессы. Найдите вирус. Как правило, он выделяется ярким цветом. Найдите папку, где он находится.

Зайдите в эту папку. Сделайте все невидимые папки видимыми. Удалите вирус и почистите корзину. Такой вариант подходит только для обычной загрузки операционной системы. Если вы зашли в безопасном режиме, вирус будет неактивен. И, соответственно, видеть его вы не будете.

Если нет возможности выполнить ни одно действие, нужно запустить операционную систему с другого диска. Запустите ОС с LiveCD. Запустите полную проверку на вирусы антивирусом или лечащей утилитой. Удалите вирус.

Подключите другой жесткий диск с установленной операционной системой. Запустите ОС с него. Просканируйте все жесткие диски с помощью антивируса или лечащей утилиты. Удалите вирус.

Видео по теме

Обратите внимание

Как только вы поняли, что на компьютере находится вирус, отключите его от локальной сети, если она есть.

Полезный совет

Не останавливайте действие антивируса до тех пор, пока не завершится полное сканирование всех дисков.

Источники:

  • Как избавиться от вирусов без антивирусных программ

Если вы очень долгий период пользовались компьютером без антивирусной программы, но потом все же решили установить антивирус, велика вероятность того, что в компьютере уже есть вирусы, которые нужно удалить. Даже если у вас была установлена антивирусная программа, время от времени нужно сканировать систему на наличие вирусов и, в случае их обнаружения, удалять. Отсутствие вирусов на компьютере делает работу системы стабильной и гарантирует безопасность ваших личных файлов.

Вам понадобится

  • Персональный компьютер, антивирусная программа ESET NOD32

Инструкция

Дальнейшие инструкции по удалению вирусов будут приводиться на примере антивирусной программы ESET NOD32. Вы можете скачать данный антивирус с официального сайта компании ESET. Доступна полностью бесплатная тривиальная со сроком бесплатного использования один месяц.

После установки NOD32 значок программы появится на панели задач операционной системы. Вам необходимо войти в меню программы. Для этого дважды нажмите мышкой по значку программы. В появившемся меню выберите компонент «Сканирование ПК», а в следующем окне - параметр «Выборочное сканирование».

Дальше нужно выбрать объекты сканирования. В качестве объектов сканирования отметьте все разделы жесткого диска, оперативную память и даже виртуальные приводы компьютера (если они есть). Теперь обратите внимание на окна: «Профиль сканирования». Рядом находится стрелочка. Нажмите на нее. Откроется список профилей сканирования. Выберите «Глубокое сканирование». После того, как все параметры проверки компьютера будут установлены, нажмите «Сканировать».

Дождитесь завершения операции сканирования. Затем откроется журнал, в котором будут результаты сканирования. Там и будет список найденных вирусов. Напротив типа вируса будет стрелочка, нажатием по которой вы откроете список возможных действий. Из списка действий выберите «Удалить». Затем снизу окна нажмите «Выполнить». После этого будет удален из компьютера. Таким способом вы можете удалить все найденные программой вирусы.

Если среди зараженных файлов был файл, который необходим для нормальной работы операционной системы, удалить вы его не сможете. После того, как вы выберите действие «Удалить», появится сообщение: «Удаление невозможно». Вирус будет помещен в карантин и изолирован. Находясь в карантине, он не будет распространяться и заражать другие файлы.

Видео по теме

Вирусы и вредоносные программы блокируют полноценную работу вашего персонального компьютера. Чтобы обезопасить ваш ПК, необходимо использовать антивирус. Но если у вас нет антивируса, то можно справиться и без него.

Инструкция

Если в оперативную систему вашего персонального компьютера попала вирусная программа Winlock, то с ней можно справиться, не прибегая к помощи антивирусного программного обеспечения. Воспользуйтесь функцией вашего компьютера «Восстановления системы». Если меню пуск доступно, то откройте «Пуск» - «Все программы» - «Стандартные» и выберите «Восстановление системы». Укажите точку «отката» (данная отметка устанавливается автоматически с определенным периодом, но можете установить ее самостоятельно) и нажмите «Далее». Начнется процесс «отката» системы на заданный период времени.
После данной операции вирус будет удален с вашего компьютера.

Если вирус заблокировал рабочий стол персонального компьютера, то можно запустить «Восстановление системы» через командную строку. Нажмите горячие клавиши Ctrl+Alt+Delete, чтобы вызвать Диспетчер задач. В появившемся диалоговом окне нажмите ссылку «Файл» - «Новая задача (Выполнить…)». Введите команду “cmd.exe”. Появится окно командной строки. Теперь необходимо вписать следующее: %systemroot%system32
estore
strui.exу и нажать “Enter”. Начнется автоматическое восстановление системы.

Обнаружение, основанное на сигнатурах - метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия, какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:

  • 1. Удалить инфицированный файл.
  • 2. Заблокировать доступ к инфицированному файлу.
  • 3. Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).
  • 4. Попытаться «вылечить» файл, удалив тело вируса из файла.
  • 5. В случае невозможности лечения/удаления, выполнить эту процедуру при следующей перезагрузке операционной системы.

Для того чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в базу сигнатур вирусов нужно периодически загружать (обычно, через Интернет) данные о новых вирусах. Если бдительные и имеющие склонность к технике пользователи определят вирус по горячим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а те затем добавляют информацию о новых вирусах в свои базы. Для многих антивирусных программ с базой сигнатур характерна проверка файлов в тот момент, когда операционная система создаёт, открывает, закрывает или посылает файлы по почте. Таким образом,

Обнаружение аномалий - метод, при котором антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (.EXE-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать.

В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.

Другие названия: проактивная защита, поведенческий блокиратор, Host Intrusion Prevention System (HIPS).

В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше не вредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше.

Обнаружение, основанное на эмуляции - метод, при котором некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы, перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть, например, немедленно начинает искать другие.EXE-файлы), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.

Метод «Белого списка» - общая технология по борьбе с вредоносными программами -- это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным.

В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.

  • Специальная программа-детектор сообщает о наличии известного ей вируса в оперативной памяти, в файлах или системных областях на жёстком диске.
  • Программа-ревизор сообщает об изменении файлов, которые не должны изменяться. При этом изменение часто выполняется необычным способом, например, содержание файла изменено, а время его модификации - нет.
  • Программа-ревизор сообщает об изменении главной загрузочной записи жёсткого диска или загрузочной записи, а Вы не изменяем разбиение жёсткого диска, не устанавливали новую версию операционной системы и не давали иных поводов к изменению данных областей жёсткого диска.
  • Программа-сторож сообщает о том, что какая-то программа желает форматировать жёсткий диск, изменять системные облает жёсткого диска и т.д., а Вы не поручали никакой программе выполнять подобные действия.
  • Программа-ревизор сообщила о наличии в памяти «невидимых » («стелс ») вирусов. Это проявляется в том, что для некоторых файлов или областей дисков при чтении средствами DOS и при чтении помощью прямых обращений к диску выдаётся разное содержимое.
  • Вирус сам Вам представился, выведя соответствующее сообщение.
  • Антивирусная программа сообщает об обнаружении неизвестного вируса.
  • На экран или принтер начинают выводиться посторонние сообщения символы и т.д.
  • Некоторые файлы оказываются испорченными.
  • Некоторые программы перестают работать или начинают работать неправильно.
  • Работа на компьютере существенно замедляется.

Впрочем, похожие явления могут вызываться не вирусом, а неправильно работающими программами, сбоями в аппаратуре и т.д.

Пять правил при заражении компьютера вирусом.

При заражении компьютера вирусом (или при подозрении на это) важно соблюдать пять правил.

1. Прежде всего, не надо торопиться и принимать опрометчивых решений. Как говориться, «семь раз отмерь, один раз отрежь »- непродуманные действия могут привести не только к потере части данных, которые можно было бы восстановить, но и к повторному заражению компьютера вирусом.

2. Тем не менее, одно действие должно быть выполнено немедленно. Если Вы не абсолютно уверены в том, что обнаружили вирус до того, как он успел активизироваться на Вашем компьютере, то надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий.

3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при правильной загрузке компьютера с защищённой от записи «эталонной » дискеты с операционной системой. При этом следует использовать только программы, хранящиеся на защищённых от записи дискетах или флешках. Несоблюдение этого правила может привести к очень тяжёлым последствиям, поскольку при загрузке DOS или запуске программы с заражённого диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.

4. Лечение от вируса обычно несложно, но иногда (при существенных разрушениях, причинённых вирусом) оно очень затруднительно. Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь Вам более опытных, коллег.

5. Лечение компьютера от вируса - процесс творческий, поэтому любые рекомендации по этому поводу не надо воспринимать как догму. Тем более создатели вирусов нет-нет, да и придумают что-то новое, и некоторые рекомендации по борьбе с вирусами из-за этого устаревают...

Раннее обнаружение компьютерного вируса

Если Вы используете резидентную программу-сторожа для зашить вируса, то наличие вируса можно обнаружить на самом раннем этапе, когда вирус еще не успел активизироваться, заразить другие программы или диски и испортить какие-либо данные. Например, при обращении к дискете программа-сторож может вывести сообщение, что на диске имеется загрузочный вирус, и предложить его удалить.

Тогда для удаления вируса достаточно согласиться с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полученной со стороны дискеты или скачанного по электронной почте файла программами-детекторами типа Aidstest, Dr.Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту дискету или файл.

Выяснение сведений о компьютерном вирусе вирусе

Если какая-либо из программ-детекторов сообщит о том, что она нашла известный ей вирус, то желательно прочесть в её документации или встроенном справочнике сведения о данном типе вируса. Например, в комплект поставки программ-детекторов Aidstest и Dr.Web входят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусах позволят Вам оценить возможные последствия заражения и выбрать необходимые меры по их устранению.

Например, если компьютер оказался заражён неопасным загрузочным вирусом, то кроме удаления вируса с жёсткого диска и дискет, которыми Вы пользовались, делать ничего не надо. Устранение последствий действий вируса, изменяющим случайно выбранные участки диска, могут быть гораздо серьёзнее обычно при этом приходиться заново устанавливать все пакеты программ с дистрибутивов, а собственные данные с резервных копий.

 

 
Это интересно: